Минздрав США готовится к набегу «русских хакеров» на больницы

Свои опасения минздрав проиллюстрировал известным мемом «хомячок в шоке» (scared hamster). Согласно сетевым энциклопедиям, мем используется, чтобы показать испуг и беспомощность.

Доклад под названием «Киберконфликт между Россией и Украиной и потенциальные угрозы для сектора здравоохранения США» подготовил входящий в структуру министерства центр кибербезопасности. В документе перечислены потенциальные угрозы со стороны группировок, якобы связанных с РФ.

Кого боится минздрав

В списке на первом месте стоит группировка Conti, которая внедряет в корпоративные системы, в частности в секторе здравоохранения, программы-шифровальщики. «Группа Conti связана с более чем 400 кибератаками по всему миру, 300 из которых были направлены против американских организаций. Сумма выкупа [за дешифровку] может доходить до 25 млн долларов». Известно, что в мае 2021 года Conti отключила сеть информационных технологий минздрава Ирландии, добившись возникновения сбоя в работе рентгеновских систем, задержек в тестировании на COVID-19 и так далее. Компания в сфере IT-защиты Digital Shadows по итогам 2021 года отдала Conti второе место в рейтинге по числу жертв.

Среди прочих опасностей айтишники из минздрава США выделяют программу-вымогатель NotPetya (усовершенствованная версия сетевого червя Petya). Вирус распространяется по корпоративным сетям даже без помощи специалиста и способен приводить к полной утрате файлов. Первоначально NotPetya был направлен против Украины в июне 2017 года, а затем распространился по всему миру, негативно повлияв на деятельность крупных американских фармкомпаний и больниц, указано в докладе.

На стационары Северной Америки (в большей степени, чем на Европу и Азию) нацелены и вымогатели из группировок FIN12 и Ryuk. Ryuk с 2018 года нанесла ущерб как минимум 235 американским больницам, психиатрическим лечебницам и десяткам других медорганизаций. Ежегодная выручка FIN12 превышает 300 млн долларов.

Также в числе угроз названы вирусы HermeticWiper и WhisperGate, которые использовались для кибератак на украинские учреждения незадолго до старта военной спецоперации РФ. Американское ведомство без каких-либо доказательств приписывает совершённые взломы Москве, при этом оценивая работу хакеров словами «просто» и «эффективно» и уподобляя её автомату Калашникова:

«Поддерживаемые российским государством субъекты продвинутой постоянной угрозы (Advanced persistent threat, APT. – τ.) применяли простые, но эффективные тактики, включая целевой фишинг, брутфорс (Автоматический подбор паролей. – τ.) и использование известных уязвимостей против учётных записей и сети со слабой защитой, для получения начального доступа к целевым сетям».

Ведомство приводит список уязвимостей, которые используют «русские хакеры» (см. фото ниже).

Больницы наймут больше айтишников и заблокируют трафик из Украины

Американский минздрав рекомендует свести к минимуму кадровые пробелы в обеспечении IT-безопасности, улучшить защиту организаций в киберпространстве и постараться создать условия, при которых критически важные функции учреждений продолжали бы выполняться в случае, если технологические системы будут повреждены. В такой ситуации больницы должны иметь ресурсы, чтобы продержаться в течение четырёх-шести недель.

Также указано на необходимость повысить киберготовность и предупредить персонал о возросшем риске получения фишинговых электронных писем с вредоносным ПО. Организациям велено убедиться, что создано множество резервных копий данных, и использовать геоблокировку – запрет «на весь входящий и исходящий трафик из Украины и прилегающих стран».

Ведомство напоминает о хакерских атаках на различные украинские учреждения в 2015 году, ссылаясь на заявления Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) о том, что власти РФ использовали хакеров для давления на Киев. По мнению американских аналитиков, российские спецслужбы в течение почти 10 лет прибегали к помощи киберпреступников (Евгений Богачёв, Максим Якубец) для прикрытия различных спецопераций.

Спецоперация расколола славянских хакеров на два лагеря

В минздраве США понимают, что стали заложниками военной спецоперации России на Украине, которая расколола многие преступные кибергруппировки на два лагеря.

«Хактивисты» заблокировали ряд интернет-порталов различных правительственных учреждений и временно отключили веб-сайты Минобороны, президента России (kremlin.ru) и Russia Today.

Кроме всего прочего, в докладе говорится о том, что в Conti обнаружился украинский националист (Ukrainian nationalist member), который обнародовал чаты группировки, а также исходный код шифровальщика (об этом эпизоде сообщалось в начале марта). Заокеанские аналитики не могут понять, руководствуются ли хакеры из этого сообщества патриотическими чувствами или действуют по указанию российских спецслужб.

Киевские власти открыто присоединились к интернет-терроризму. Как сообщило агентство Reuters, один из учредителей компании в сфере кибербезопасности в Киеве Егор Аушев по просьбе высокопоставленного чиновника из минобороны начал вербовку добровольцев через местный хакерский форум для участия в наступательных и оборонительных кибероперациях. Его фирма Cyber Unit Technologies совместно с правительством Украины занимается защитой критической инфраструктуры. Разговоры о создании кибервойск возобновились и в российских властных кругах.

Стоит отметить, что Вашингтон через структуру USAID в Киеве вложил в системы компьютерной безопасности постсоветской республики десятки миллионов долларов.